Povodom Svetskog dana lozinki, Kaspersky upozorava na generisanje lozinki pomoću veštačke inteligencije
Koliko lozinki imate? Verovatno više nego što mislite. Većina onlajn servisa i aplikacija zahteva od korisnika da kreira lozinku. Velike su šanse da se mnoge od tih lozinki ne koriste svakodnevno, a zbog tog prevelikog broja vrlo je verovatno da se mnoge lozinke koriste više puta.
Loše upravljanje lozinkama pogoršava se oslanjanjem na uobičajene kombinacije imena, reči i brojeva. Ne samo da je takve lozinke relativno lako dešifrovati, već ako sajber kriminalac dođe do lozinke na jednom sajtu, to može dovesti do pristupa mnoštvu drugih sajtova.
Ljudima se savetuje da kreiraju jedinstvene, nasumične lozinke kako bi predupredili ranjivosti koje nastaju korišćenjem iste lozinke više puta. Ipak, kreiranje i upravljanje lozinkama može biti mukotrpan zadatak. Kako bismo se nosili sa teretom kreiranja i upravljanja lozinkama, možemo doći u iskušenje da koristimo velike jezičke modele (LLM) kao što su ChatGPT, Llama ili DeepSeek za generisanje lozinki.
Jasno je zašto to privlači ljude. Umesto da se muče sa smišljanjem jake lozinke, korisnici mogu jednostavno da zamole veštačku inteligenciju da generiše sigurnu lozinku i odmah dobiju rezultat. Veštačka inteligencija generiše nizove koji deluju nasumično, što pomaže da se izbegne sklonost ka pravljenju predvidivih lozinki zasnovanih na rečima. Međutim, izgled može da prevari i lozinke koje generiše veštačka inteligencija možda nisu tako bezbedne kao što deluju.
Aleksej Antonov, rukovodilac tima za nauku o podacima u kompaniji Kaspersky, testirao je ovo tako što je generisao 1.000 lozinki koristeći neke od poznatijih i pouzdanijih velikih jezičkih modela, uključujući ChatGPT (OpenAI), Llama (Meta grupa) i DeepSeek (novajlija iz Kine). „Svi modeli znaju da dobra lozinka sadrži najmanje 12 karaktera, uključujući velika i mala slova, brojeve i simbole. To i sami navode prilikom generisanja lozinki“, kaže Antonov.
„DeepSeek i Llama su u nekim slučajevima generisali lozinke koje se sastoje od reči u kojima su umesto nekih slova korišćeni brojevi sličnog oblika: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Lllama).
Oba modela vole da generišu lozinku "password": P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Nepotrebno je reći da takve lozinke nisu sigurne“, dodaje Antonov. Trik sa zamenom slova je poznat i nije teško primeniti „brutalnu silu“. ChatGPT ne pati od ovog problema i generiše lozinke koje izgledaju nasumično.
Na primer:
• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• YLp^9W#qX@zv
• P@zq^XWLY#v9
• v#@LqYXW^9pz
• X@9pYWq^#Lzv
Međutim, ako pažljivo pogledate, možete primetiti obrasce. Na primer, broj 9 se često pojavljuje.
Ispod je prikazan histogram svih simbola u 1.000 generisanih lozinki pomoću ChatGPT – jasno je da gotovo sve lozinke sadrže simbole x, p, l, L ….
Učestalost karaktera korišćenih u lozinkama generisanim koristeći ChatGPT
Ovo uopšte ne liči na nasumična slova
Kada je u pitanju Llamu, situacija je malo bolja: Llama voli simbol # i slova p, l, L.
Učestalost karaktera korišćenih u lozinkama generisanim koristeći Llama
DeepSeek ima slične tendencije:
Učestalost karaktera korišćenih u lozinkama generisanim koristeći DeepSeek
Idealan nasumični generator ne bi trebalo da preferira bilo koje slovo. Svi simboli bi trebalo da se pojavljuju otprilike isti broj puta.
Takođe, algoritmi su često zanemarivali da unesu specijalni karakter ili cifre u lozinku: 26% lozinki koje je kreirao ChatGPT, 32% za Llama i 29% za DeepSeek. Takođe, DeepSeek i Llama su ponekad generisali lozinke kraće od 12 karaktera.
Znajući sve ovo, sajber kriminalci mogu značajno ubrzati proces primene „brutalne sile“ u napadima na lozinke: tj. umesto da pokušavaju u redosledu "aaa", "aab", "aac", .. "aba", "abb", "abc", ... "zzz", mogli bi početi sa kombinacijama koje se često pojavljuju.
U 2024. godini, Antonov je razvio algoritam mašinskog učenja za testiranje snage lozinki i otkrio da skoro 60% lozinki može biti provaljeno za manje od jednog sata koristeći moderne GPU-ove ili alate za probijanje u oblaku.
Kada je ovaj test primenjen na lozinke generisane veštačkom inteligencijom, rezultati su bili alarmantni, jer su one bile daleko manje sigurne nego što je to delovalo: 88% lozinki generisanih pomoću DeepSeek i 87% onih generisanih pomoću Llama modela nisu bile dovoljno jake da izdrže napad sofisticiranih sajber kriminalaca. ChatGPT bio malo bolji sa 33% lozinki koje nisu bile dovoljno jake da prođu Kaspersky test.
„Problem je što veliki jezički modeli ne stvaraju istinsku nasumičnost. Umesto toga, oni oponašaju obrasce iz postojećih podataka, čineći njihove rezultate predvidljivim za napadače koji razumaju kako ovi modeli funkcionišu“, napominje Antonov.
Primenite sigurnije upravljanje lozinkama
Umesto da se oslanjaju na veštačku inteligenciju, korisnici bi trebalo da primene specijalizovani softver za upravljanje lozinkama, kao što je Kaspersky Password Manager. Ovi alati nude nekoliko ključnih prednosti.
Prvo, ovaj tip softvera koristi kriptografski sigurne generatore za kreiranje lozinki bez prepoznatljivih obrazaca, čime se osigurava istinska nasumičnost. Drugo, svi podaci o korisničkim nalozima se čuvaju u sigurnom trezoru, zaštićenom jednom glavnom lozinkom.
Ovo eliminiše potrebu za pamćenjem stotina lozinki, dok ih istovremeno štiti od napada.
Pored toga, menadžeri lozinki nude automatsko popunjavanje i sinhronizaciju na uređajima, pojednostavljujući prijavljivanje bez ugrožavanja sigurnosti. Mnogi takođe uključuju praćenje napada i obaveštavaju korisnike ako njihovi akreditivi procure.
Iako veštačka inteligencija može pomoći u mnogim zadacima, generisanje lozinki nije jedan od njih.
Obrasci i predvidljivost lozinki kreiranih pomoću velikih jezičkih modela čine ih podložnim dešifrovanju. Umesto da tražite prečice, uložite u pouzdan menadžer lozinki, koji je vaša prva linija odbrane od sajber pretnji.
U eri kada su provale učestale, jaka i jedinstvena lozinka za svaki nalog je nešto sa čime ne sme biti kompromisa.
.gif)
